Azure Güvenlik Duvarı Manager ile ağlarınızın güvenliğini sağlama

  • 7 dakika

Azure Güvenlik Duvarı Yöneticisi ile çalışma

Azure Güvenlik Duvarı Yöneticisi, bulut tabanlı güvenlik sınırları için merkezi güvenlik ilkesi ve yol yönetimi sağlayan bir güvenlik yönetim hizmetidir.

Güvenli hub ve hub sanal ağ dağıtım seçeneğini gösteren Azure Güvenlik Duvarı Yöneticisi diyagramı.

Azure Güvenlik Duvarı Manager, birden çok Azure Güvenlik Duvarı örneğinde trafik filtrelemesi için ağ ve uygulama düzeyi kurallarını merkezi olarak tanımlama sürecini basitleştirir. Trafik idaresi ve koruması için merkez-uç mimarilerinde farklı Azure bölgelerini ve aboneliklerini yayabilirsiniz.

Birden çok güvenlik duvarını yönetiyorsanız, sürekli değişen güvenlik duvarı kurallarının bunları eşitlenmiş durumda tutmanın zor olduğunu bilirsiniz. Merkezi BT ekiplerinin temel güvenlik duvarı ilkelerini tanımlamanın ve bunları birden çok iş biriminde zorunlu kılmanın bir yoluna ihtiyacı vardır. DevOps ekipleri aynı zamanda kuruluşlar genelinde uygulanan kendi yerel türetilmiş güvenlik duvarı ilkelerini oluşturmak ister. Azure Güvenlik Duvarı Yöneticisi bu sorunların çözülmesine yardımcı olabilir.

Güvenlik Duvarı Yöneticisi, iki ağ mimarisi türü için güvenlik yönetimi sağlayabilir:

  • Güvenli Sanal Merkez - Güvenlik ve yönlendirme ilkeleri ilişkilendirildiğinde herhangi bir Azure Sanal WAN Hub'ına verilen addır. Microsoft tarafından yönetilen bir kaynak olan Azure Sanal WAN Merkezi, merkez-uç mimarilerini kolayca oluşturmanızı sağlar.
  • Hub Sanal Ağ - Bu, güvenlik ilkeleri ilişkili olduğunda herhangi bir standart Azure sanal ağına verilen addır. Standart Azure sanal ağı, kendi oluşturduğunuz ve yönettiğiniz bir kaynaktır. Şu anda yalnızca Azure Güvenlik Duvarı İlkesi desteklenir. İş yükü sunucularınızı ve hizmetlerinizi içeren uç sanal ağlarını eşleyebilirsiniz. Ayrıca, herhangi bir uçla eşlenmemiş tek başına sanal ağlarda güvenlik duvarlarını yönetebilirsiniz.

Azure Güvenlik Duvarı Yöneticisi özellikleri

Azure Güvenlik Duvarı Yöneticisi tarafından sunulan temel özellikler şunlardır:

  • Merkezi Azure Güvenlik Duvarı dağıtımı ve yapılandırması

    Farklı Azure bölgelerine ve aboneliklerine yayılan birden çok Azure Güvenlik Duvarı örneğini merkezi olarak dağıtabilir ve yapılandırabilirsiniz.

  • Hiyerarşik ilkeler (genel ve yerel)

    birden çok güvenli sanal hub'da Azure Güvenlik Duvarı ilkelerini merkezi olarak yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz. Merkezi BT ekipleriniz, ekipler arasında kuruluş genelinde güvenlik duvarı ilkesini zorunlu kılmak için genel güvenlik duvarı ilkeleri yazabilir. Yerel olarak yazılan güvenlik duvarı ilkeleri, daha iyi çeviklik için DevOps self servis modeline olanak sağlar.

  • Gelişmiş güvenlik için üçüncü taraf hizmet olarak güvenlikle tümleşik

    Azure Güvenlik Duvarı ek olarak, sanal ağınız ve dal İnternet bağlantılarınız için ek ağ koruması sağlamak üzere üçüncü taraf hizmet olarak güvenlik sağlayıcılarını tümleştirebilirsiniz. Bu özellik yalnızca güvenli sanal hub dağıtımlarıyla kullanılabilir (yukarıya bakın).

  • Merkezi yol yönetimi

    Uç sanal ağlarda Kullanıcı Tanımlı Yolları (UDR) el ile ayarlamanıza gerek kalmadan trafiği filtrelemek ve günlüğe kaydetmek için güvenli hub'ınıza kolayca yönlendirebilirsiniz. Bu özellik yalnızca güvenli sanal hub dağıtımlarıyla kullanılabilir (yukarıya bakın).

  • Bölge kullanılabilirliği

    bölgeler arasında Azure Güvenlik Duvarı İlkeleri kullanabilirsiniz. Örneğin, Batı ABD bölgesinde bir ilke oluşturabilir ve bunu Yine de Doğu ABD bölgesinde kullanabilirsiniz.

  • DDoS koruma planı

    sanal ağlarınızı Azure Güvenlik Duvarı Manager'da bir DDoS koruma planıyla ilişkilendirebilirsiniz.

  • Web Uygulaması Güvenlik Duvarı ilkelerini yönetme

    Azure Front Door ve Azure Uygulaması lication Gateway dahil olmak üzere uygulama teslim platformlarınız için Web Uygulaması Güvenlik Duvarı (WAF) ilkelerini merkezi olarak oluşturabilir ve ilişkilendirebilirsiniz.

Azure Güvenlik Duvarı Yöneticisi ilkeleri

Güvenlik duvarı ilkesi NAT, ağ ve uygulama kuralı koleksiyonları ile Tehdit Bilgileri ayarlarını içeren bir Azure kaynağıdır. Güvenli Sanal Hub'lar ve Hub Sanal Ağ'lerdeki birden çok Azure Güvenlik Duvarı örneğinde kullanılabilen genel bir kaynaktır. Yeni ilkeler sıfırdan oluşturulabilir veya mevcut ilkelerden devralınabilir. Devralma, DevOps'un kuruluş tarafından zorunlu kılınan temel ilkenin üzerinde yerel güvenlik duvarı ilkeleri oluşturmasına olanak tanır. İlkeler bölgeler ve abonelikler arasında çalışır.

Azure Güvenlik Duvarı Yöneticisi ile Güvenlik Duvarı İlkesi ve ilişkilendirmeleri oluşturabilirsiniz. Ancak REST API, şablonlar, Azure PowerShell ve Azure CLI kullanarak da ilke oluşturabilir ve yönetebilirsiniz. İlke oluşturduktan sonra, bunu sanal WAN hub'ında bir güvenlik duvarıyla ilişkilendirerek Güvenli Sanal Hub yapabilir ve/veya standart bir Azure sanal ağındaki bir güvenlik duvarıyla ilişkilendirerek hub Sanal Ağ yapabilirsiniz.

İlkelerin uygulandığı farklı merkez sanal ağlarına dağıtılan üç güvenlik duvarı içeren Azure Güvenlik Duvarı Yöneticisi diyagramı.

Hub Sanal Ağ için Azure Güvenlik Duvarı Yöneticisi dağıtma

Hub Sanal Ağ s için Azure Güvenlik Duvarı Yöneticisi'ni dağıtmak için önerilen işlem aşağıdaki gibidir:

  1. Güvenlik duvarı ilkesi oluşturma

    Yeni bir ilke oluşturabilir, bir temel ilke türetebilir ve yerel ilkeyi özelleştirebilir veya mevcut bir Azure Güvenlik Duvarı kuralları içeri aktarabilirsiniz. Birden çok güvenlik duvarına uygulanması gereken ilkelerden NAT kurallarını kaldırdığınızdan emin olun.

  2. Merkez-uç mimarinizi oluşturma

    Bunu, Azure Güvenlik Duvarı Yöneticisi'nin ve eşleme uç sanal ağlarının sanal ağlarını kullanarak bir Hub Sanal Ağ oluşturarak veya sanal ağ oluşturarak ve sanal ağ eşlemesini kullanarak buna sanal ağ bağlantıları ve eşleme uç sanal ağları ekleyerek yapın.

  3. Güvenlik sağlayıcılarını seçin ve güvenlik duvarı ilkesini ilişkilendirin

    Şu anda yalnızca Azure Güvenlik Duvarı desteklenen bir sağlayıcıdır. Bu işlem Hub Sanal Ağ oluşturulurken veya mevcut bir sanal ağı Hub Sanal Ağ dönüştürerek yapılabilir. Birden çok sanal ağı dönüştürmek de mümkündür.

  4. Trafiği Hub Sanal Ağ güvenlik duvarınıza yönlendirmek için Kullanıcı Tanımlı Yolları yapılandırma

Güvenli Sanal Hub'lar için Azure Güvenlik Duvarı Yöneticisi Dağıtma

Güvenli Sanal Hub'lar için Azure Güvenlik Duvarı Yöneticisi'ni dağıtmak için önerilen işlem aşağıdaki gibidir:

  1. Merkez-uç mimarinizi oluşturma

    Bunu yapmak için Azure Güvenlik Duvarı Manager kullanarak Güvenli Bir Sanal Hub oluşturun ve sanal ağ bağlantıları ekleyin ya da Sanal WAN Hub oluşturup sanal ağ bağlantıları ekleyin.

  2. Güvenlik sağlayıcılarını seçin

    Bu, Güvenli Sanal Hub oluşturulurken veya mevcut bir Sanal WAN Hub'ı Güvenli Sanal Hub'a dönüştürülerek yapılabilir.

  3. Güvenlik duvarı ilkesi oluşturma ve bunu hub'ınızla ilişkilendirme

    Bu yalnızca Azure Güvenlik Duvarı kullanıyorsanız geçerlidir. Üçüncü taraf hizmet olarak güvenlik ilkeleri, iş ortakları yönetim deneyimi aracılığıyla yapılandırılır.

  4. Trafiği Güvenli Sanal Hub'ınıza yönlendirmek için rota ayarlarını yapılandırma

    Güvenli Sanal Merkez Rota Ayarı sayfasını kullanarak uç Sanal Ağ üzerinde Kullanıcı Tanımlı Yollar (UDR) olmadan filtreleme ve günlüğe kaydetme için trafiği güvenli hub'ınıza kolayca yönlendirebilirsiniz.

Bölge başına sanal WAN başına birden fazla hub'ına sahip olamazsınız, ancak bunu başarmak için bölgeye birden çok sanal WAN ekleyebilirsiniz.

VWAN'daki hub'lar için çakışan IP alanlarınız olamaz.

Hub sanal ağ bağlantılarınızın hub ile aynı bölgede olması gerekir.